ナレッジ

ソフトウェアのアップデートを装う標的型攻撃

特定組織を対象とした高度な攻撃手法

「DT-ARLCS ニュースレター Vol.02」ソフトウェアのアップデートを装う標的型攻撃について解説します。

ソフトウェアのアップデートを装う標的型攻撃

昨年より、特定の組織を攻撃対象とした「ソフトウェアのアップデート機能を装う標的型攻撃」が複数確認されています。

攻撃者は、事前に攻撃対象の組織が利用しているオペレーティングシステム(OS)やソフトウェア等の情報を入手し、攻撃インフラを構築することでこれまで以上に巧妙な攻撃を実現しています。

従来のメールによる標的型攻撃は、添付ファイルを実行する等の利用者(被攻撃者)の操作に依存する部分がありましたが、本攻撃はソフトウェアの自動アップデート機能の仕組みを利用するため、利用者が意識的に操作せずとも攻撃が行われる点が特徴といえます。

考え方としては「水飲み場攻撃」に類似しており、同様の攻撃手法としてクラウド・ストレージのデータ同期の仕組みを悪用したものもあります。ソフトウェアアップデートの多くがインターネット経由で自動実行されるため、今後脅威や被害が増大することが考えられます。

(1.3MB, PDF)

アップデート機能を悪用した標的型攻撃の仕組み

ソフトウェアのアップデートファイルを提供するサーバの多くはウェブサーバで運用されており、アップデート機能はOSやアプリケーションの起動時にバックグラウンドで動作しています。

つまり、攻撃者はアップデートサーバに侵入ができれば、特定の利用者に対して悪性コードを受信させることができてしまうということです。

攻撃者はソフトウェア開発会社が提供する正規のアップデートサーバに侵入(下図【1】)し、どの組織がアップデートサーバにアクセスしているか調べ、攻撃対象を決定します。

その後、攻撃対象の組織からのアクセス(同【2】)のみを攻撃者が用意した別のサイトへ誘導(同【3】)することで攻撃を行います。

攻撃対象組織の利用者は正規のアップデートサーバにアクセスするため、悪性コードを含む偽アップデートファイルに対してOSやアンチウイルスソフト等がセキュリティ侵害の警告を発した場合でも特に意識せずに実行(同【4】)してしまいます。

当研究所において確認した攻撃は、いずれも「特定の組織」のみが標的となっており、且つ「一定の期間、時間帯」にのみ悪意あるウェブサーバへ誘導する設定となっていました。

攻撃対象を限定することで被害も特定組織に限定され、攻撃の発見と対応が遅れる原因となっており、公開されているセキュリティ情報のみでは十分な対応が困難になったといえます。

複雑化する標的型攻撃の対策に先立って

当研究所で確認した範囲では、偽アップデートプログラムはいずれも不正な署名が行われていました。

したがって、利用者がアップデート時に表示されるコード署名用の証明書に関する警告メッセージを注意深く確認することや、利用者が個別にインターネット上にファイルを取得することを防止するため、インストールするアプリケーションやアップデートを一元管理可能なソフトウェア自動配布システム等を利用することが対策として考えられます。

これらの他にも対策は考えられますが、信頼するソフトウェアのサーバが侵害されているため、利用者側からの対策は困難といえます。

したがって、偽アップデートによる侵害にいち早く気付くための体制構築と事後対応(ダメージコントロール)について、このような攻撃を想定した準備を事前にしておくことが重要であるといえます。

サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?